ISO/IEC 27001 -standardin mukaisen tietoturvallisuuden saavuttaminen yrityksessä
Toivonen, Aleksi (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025120432366
https://urn.fi/URN:NBN:fi:amk-2025120432366
Tiivistelmä
Opinnäytetyön tavoitteena oli tuottaa tieto toimeksiantajayrityksen tietoturvallisuuden hallinnan nykytilan ja SFS-EN ISO/IEC 27001:2023 vaatimusten välisistä eroavaisuuksista. Työn tarkoituksena oli tukea toimeksiantajaa tietoturvallisuuden hallinnan kehittämisessä sekä toimia pohjatyönä mahdollisen ISO 27001-mukaisen tietoturvallisuuden hallintajärjestelmän perustamiselle. Toimeksiantaja sai työstä kokonaiskuvan tietoturvallisuuden hallinnan nykytilan vahvuuksista sekä kehityskohteista.
Työn viitekehyksenä toimivat SFS-EN ISO/IEC 27001:2023 -standardin vaatimukset ja liite A, jossa esitetään erilaisia tietoturvallisuuden hallintakeinoja. Kehittämistehtävänä oli selvittää, miten toimeksiantajayrityksen nykyiset käytännöt, prosessit, toimintamallit sekä dokumentaatio täyttävät standardin vaatimukset ja samalla tunnistaa puutteet nykytilan sekä standardin vaatimusten välillä.
Menetelmällisesti työ toteutettiin puuteanalyysina, jossa standardin vaatimukset sekä liite A:n hallintakeinot kerättiin taulukkomuotoon. Tämän jälkeen suoritettiin dokumentaation katselmointi, jossa kerättiin todisteita standardin vaatimuksien täyttymisestä. Dokumentaation katselmoinnin tuloksia täydennettiin työpajassa, johon osallistui yrityksen keskeisiä asiantuntijoita.
Tulosten perusteella yritys täytti SFS-EN ISO/IEC 27001:2023 vaatimuksista 37 %. Tulokset osoittivat, että yrityksellä on jo olemassa olevia käytäntöjä, prosesseja, toimintamalleja sekä dokumentaatiota tietoturvallisuuden hallintaan. Kehittämistarpeita oli erityisesti toimintaympäristön määrittelyssä, johtamisessa sekä suorituskyvyn arvioinnissa. Tietoturvallisuuden hallintakeinojen osalta yrityksellä oli käytössä 70,96 % SFS-EN ISO/IEC 27001:2023 liite A:n hallintakeinoista.
Johtopäätöksenä voidaan todeta, että yrityksellä on perusta tietoturvallisuuden hallintajärjestelmän rakentamiselle, mutta kehittämistoimia tulee kohdentaa mahdollisessa rakennusvaiheessa varsinkin toimintaympäristön määrittelyyn, johtamiseen sekä suorituskyvyn arviointiin.
Työn viitekehyksenä toimivat SFS-EN ISO/IEC 27001:2023 -standardin vaatimukset ja liite A, jossa esitetään erilaisia tietoturvallisuuden hallintakeinoja. Kehittämistehtävänä oli selvittää, miten toimeksiantajayrityksen nykyiset käytännöt, prosessit, toimintamallit sekä dokumentaatio täyttävät standardin vaatimukset ja samalla tunnistaa puutteet nykytilan sekä standardin vaatimusten välillä.
Menetelmällisesti työ toteutettiin puuteanalyysina, jossa standardin vaatimukset sekä liite A:n hallintakeinot kerättiin taulukkomuotoon. Tämän jälkeen suoritettiin dokumentaation katselmointi, jossa kerättiin todisteita standardin vaatimuksien täyttymisestä. Dokumentaation katselmoinnin tuloksia täydennettiin työpajassa, johon osallistui yrityksen keskeisiä asiantuntijoita.
Tulosten perusteella yritys täytti SFS-EN ISO/IEC 27001:2023 vaatimuksista 37 %. Tulokset osoittivat, että yrityksellä on jo olemassa olevia käytäntöjä, prosesseja, toimintamalleja sekä dokumentaatiota tietoturvallisuuden hallintaan. Kehittämistarpeita oli erityisesti toimintaympäristön määrittelyssä, johtamisessa sekä suorituskyvyn arvioinnissa. Tietoturvallisuuden hallintakeinojen osalta yrityksellä oli käytössä 70,96 % SFS-EN ISO/IEC 27001:2023 liite A:n hallintakeinoista.
Johtopäätöksenä voidaan todeta, että yrityksellä on perusta tietoturvallisuuden hallintajärjestelmän rakentamiselle, mutta kehittämistoimia tulee kohdentaa mahdollisessa rakennusvaiheessa varsinkin toimintaympäristön määrittelyyn, johtamiseen sekä suorituskyvyn arviointiin.